论文部分内容阅读
2005年~2006年我国发现的网络安全事件
2004年9月,IDC首度提出了统一威胁管理的概念,将防病毒、入侵检测和防火墙等安全设备划归为统一威胁管理(Unified Threat Management,简称UTM)。自此之后,国内市场上打着UTM旗号的安全产品就如雨后春笋般不断涌现。
UTM产品为网络安全用户提供了一种更加灵活也更易于管理的选择。用户可以在一个更加统一的架构上建立自己的安全基础设施,以往困扰用户的安全产品联动性等问题也能够得到很大程度的缓解。相对于提供单一的专有功能的安全设备,UTM在一个通用平台上提供了多种安全功能。
从目前的市场需求来看,国内中小企业对安全产品的要求非常清晰:成本低、功能丰富、维护简单、易于管理等。UTM设备恰好可以满足这些需求。
显而易见,如果中小企业要分别选购并维护防病毒网关、反垃圾邮件网关、内容过滤网关,再加上路由器和防火墙这样的网关等,那无疑是太过复杂并且成本高昂了,它们需要的就是一体化网关设备。
客观情况是,市场上不同品牌的UTM在实现上存在很大差异,用户究竟怎样选择呢?下面,我们就通过对UTM的市场需求情况、产品功能、产品性能、易用性、性价比等方面的综合分析,来对UTM进行全面总结,帮助企业用户根据实际需求情况选择最适合自身需求的产品。
需求:对安全全面管理
随着网络应用越来越复杂,安全问题以出人意料的速度增长,并且在攻击方式、攻击目标上呈现出多样化发展趋势。尽管来自企业内部的安全威胁正在增长,但木马、蠕虫及病毒仍是用户需要面对的最大的安全威胁,垃圾邮件和应用程序的漏洞也给用户网络造成了严重影响。
近些年来,之所以整个网络安全状况日益严峻,是因为一些黑客及组织已经不再以破坏系统和网站为目的,他们更多是偷取一些个人信息和公司数据,并贩卖这些信息和数据,以此来获得非常可观的利润。
于是,各种木马和垃圾邮件开始泛滥,恶意代码也更加流行起来。复杂的网络安全解决方案正成为人们关注的新的焦点问题,如何使复杂变简单,给网络管理人员带来了困惑。
新技术总是会带来人们工作方式的变革。伴随着UTM设备应运而生,网络管理员更多使用这种集中化的管理工具,逐渐放弃了传统分散式的安全解决方案。他们可以通过在网络中部署一台UTM来实现原来的防病毒、防火墙、反垃圾邮件、入侵检测及VPN管理等功能。
从表面上看,这种方法的确简化了安全管理,但是从目前已有的UTM产品来看,也存在一些问题。某些产品忽略了用户真正最关心的内容,把更多重点单纯地放在了整合概念上,从而导致一些基本的安全防护工作并没有做到位,为网络安全带来了更难察觉的安全隐患。
同时,也有一些UTM产品在更多关注安全问题的同时,又忽略了其他方面的关键问题,如综合吞吐、系统管理、报表日志及升级等。当IDC在2004年开始对UTM市场进行预测时,它就为这些所谓的“全能工具”制定了一个标准。但从那时开始,这些定义就开始衍化出多种不同的版本。
功能:应关注病毒防护
随着时间推移,用户对UTM产品认识的问题更加凸显。对于用户来说,究竟一款UTM产品应该把关注点放在哪些地方,我们不妨通过一些统计结果来了解一下。
据公安部公共信息网络安全监察局调查结果显示:我国2005年至2006年间发现的网络安全事件统计情况如图所示。从图中我们可以看出,病毒、蠕虫和木马仍旧是给企业网络安全造成威胁的罪魁祸首。
目前,UTM产品普遍采用两种防毒技术。一种是基于数据流的过滤,这种技术通常是用ASIC芯片来实现的,其实现方法与网络协议无关,只是把已知的病毒规则加入到UTM中,对接收到的数据包的内容进行强匹配,因此速度非常快,可以有效地在骨干网络上对当前最流行的病毒进行过滤。但缺点也很明显,这种设备通常比较“笨”,无法对其“不认识”的病毒或格式复杂的文件采取任何分析措施。
另一种是基于文件的过滤,这种技术通常是在人们熟悉的x86平台上实现的,其实现方法是基于协议代理,通过协议识别把利用某种协议进行传输的数据重新组合起来,做文件还原再查杀病毒。这种方法可以对压缩包、复合文档(OLE对象)、病毒的加壳变形甚至是未知病毒等进行有效的识别处理,适合用在Intranet出口保证企业内部网络安全。但由于它要对传输的文档进行缓存并扫描,其速度相对来说会慢一些。用户在选择的时候,不能只听概念,应在实际环境中综合评估。
除了认识病毒识别的方法,还应该关心一下UTM对病毒进行查杀的实际支持情况,主要考虑以下几个方面:支持的病毒种类与数量、病毒库的升级频率、支持的病毒过滤协议、VPN通道杀毒以及防病毒策略的配置方式等内容。
目前来说,病毒总数已经达到40万种。为了达到有效的病毒防护,病毒升级的频率应能够达到一天一次。另外,应支持对网络中常用的应用协议如HTTP、POP3、SMTP、FTP进行杀毒,较好的产品还应支持IMAP、MSN等协议。对于病毒过滤策略配置的实现方式,一般应支持防火墙策略,允许用户指定接口与区域,以便实现针对性防毒。
对于UTM的反垃圾邮件功能,实现方式同样也可以分成两种,一种是本地过滤,另一种是集中式过滤。
本地过滤是目前许多产品采用的方式。所谓的本地是指管理员需要手动地在本地计算机上添加反垃圾邮件规则,并对其不断地维护更新。这种方法不仅管理成本高、消耗本地计算机资源,还容易发生漏报。
而集中式过滤由于采用了分布式技术,在互联网上的所有检测服务器实时、同步对邮件的发送行为进行监控,保证过滤规则的统一,因此过滤效果往往较好。另外,这种方法是基于邮件发送行为的,因此与邮件使用的语言无关,并且能够有效处理图片型垃圾邮件的问题,这都是传统的本地过滤技术无法完成的任务。但这种方法也有自己的缺點,那就是在实际使用中会对网络资源造成部分开销。
接下来要继续了解IPS功能。这部分主要需要关注UTM的误报情况,因为中小企业的管理员通常没有精力来分析是误报还是真的有攻击。另外还需要了解打开后对性能的影响程度,以便有选择地对主要安全威胁进行过滤。
除了关注防病毒、防攻击以及反垃圾邮件这三个对用户网络安全造成影响的因素,一款好的UTM产品同样需要关注以下问题:
VPN管理
网关上的配置要尽可能简单,应该能够支持Windows的VPN客户端拨号程序,这样任何受信用户在任何地点都可以连接到企业内部网络。
内网管理能力
这主要是指MAC管理,包括能否自动学习到每个用户的机器名信息、是否便于管理、机器名信息是否能自动带入其他模块。还要了解其流量控制与带宽管理的细节,是否与用户相关并能很方便地设置。最后还要了解一下,能否对应用软件进行管理,如IM、P2P、游戏软件、股票软件等。
日志管理能力
UTM应该提供本地病毒、垃圾邮件隔离、日志审计、统计报表,且无需再配其他软件或硬件来管理日志与报表。如果UTM无法对其管理的内容提供有效的报告,那么没有任何意义了。所以,好的UTM设备都应该提供丰富直观的日志报告,有些内容甚至是实时提供的,这些内容使得网络管理员可以方便地监控网络的状态和安全状况。
集中管理与联动功能
优秀的UTM应该提供集中管理功能,不少UTM还能与网络中的杀毒软件网络版进行联动,阻止有安全隐患的计算机上网并发送管理员报警,让管理员能很容易发现网内的安全短板,以便及时解决。在UTM的领域里,集中管理可以帮助管理员对网络有一个全景的掌握。
系统升级功能
在过去,UTM设备捆绑的很多安全组件并不一定都能够自动升级,因此管理员只能一一手动进行更新。对于维护来说,这是一项很让人头疼的事情。有的UTM甚至根本没有提供升级功能,用户还需要另行购买用来处理升级的程序。而现在,UTM几乎都提供了专业的升级功能,它可以自动下载各种组件需要的最新签名,并且管理员可以通过只单击一个按钮就能完成整个操作。
性能:别套用传统指标
目前,防火墙已经具有较为完善的测试标准和测试结果,比如每秒新增、最大并发、各种包的吞吐情况、特定压力下的情况等指标。但这往往只是60秒内的数据,且是在无规则情况下产生的。然而在实际的网络环境中,肯定会有规则,并且会长时间不间断地运营,因此那时获得的性能数据肯定会打折扣。
防火墙的最大并发达到百万已经很常见了,应用层的并发是否也需要这么大呢?其实,防火墙的最大并发主要是在维护包过滤的状态信息,时窗往往达到5分钟,因此需要很大的并发值。但对于应用层过滤,还主要看所采用的技术是代理还是流过滤。若采用代理技术,应用层的连接在还原数据后就可以复用,因此并不需要很多并发,一般来说每人5个就够了。这时,应用层最主要的是看新增能力及吞吐能力,前者表示很多用户在传输数据时新用户请求的响应时间,后者表示反应请求的时延。
另外,应用层的吞吐受影响的因素更多,如文件的大小、文件的种类、文件的实际内容、服务器的带宽、服务器的忙闲、出口的带宽、经过的网络设备、域名解析的情况。因此不能光看UTM设备的最大吞吐,而要看平均吞吐(在实际的网络环境中,统计一周左右的数据,通过网关设备看其平均处理能力)。
对于防毒产品,还要看检出率与误报率。当然在现实环境中用户不能直接评估此数据,因此只能看国家检测机构的数据。但是我们可以模拟变形来看看安全网关的处理能力,如将文件放到复合文档中,放到压缩包中,使用加壳工具处理后看看是否能得到过滤。没有通过国家权威机构检测的UTM,建议消费者在选购时不要购买。
对于垃圾邮件来说也是一样的,主要是看检出率与误报率。误报会影响用户的正常邮件,因此一定要低,一般能接受的指标是千分之一。同时检出率要高,一般应达到85%以上,优秀的产品应该达到90%。
综上所述,单纯用一些测试防火墙的设备来评估UTM的性能是不客观的。用户应该理解厂商的性能参数的实际意义,建议在自己的实际环境中进行试用,并辅助实测,以便评估所购买的产品。
易用性:简易且友好
UTM设备不同于交换机、路由器等网络产品,管理员往往需要通过基于对一段时间内发生网络事件的分析,对现行的安全策略进行修改,因此UTM产品的易用性就非常重要。我们在评价一款UTM产品的易用性时,主要从以下几个方面进行分析:
部署方便
对于中小企业用户来说,UTM的安装和部署应该足够简单,尽量不影响企业现有的网络环境。在企业有多连接时应能够做到负载均衡,并支持各种接入方式。
管理简单
这部分包含管理、升级和调试三方面的内容。
管理方面,UTM产品应提供图形化的自有管理系统,应对用户本地语言提供详细的管理手册和设置范例,另外还应该对UTM采用分级管理,为不同的管理目的设定不同的角色。升级方面,UTM产品自身应该能够方便升级。同时,对于UTM使用的各种组件的特征库,如入侵特征库、病毒库、垃圾邮件库以及恶意URL站点库等应该做到智能升级。调试方面,UTM产品应该为用户提供必要的网络故障检测手段和调试工具,方便用户能快速定位故障,如Ping、Trace Route、数据包捕获、Telnet、SSH、应用协议跟踪等。另外,为方便得到更多的原厂商技术支持,UTM应该能提供远程协助功能。
报表友好
UTM应该能够图形化地显示出系统的各种信息,突出显示管理员应该关注的内容,并能够提供多种格式的报表,方便管理员进行文档备份及报告。
性价比:合适才最好
对于UTM这种新兴的网络安全产品,目前业界还缺乏足够规范的测试与评价标准。各个厂家对UTM概念理解不同造成了UTM功能方面的差异。
例如考察百兆级UTM产品在一个规模在100~500人之间的中小型企业的综合防护能力,一定不要片面追求某项测试指标的高低,而应全面考虑各种因素。
目前市面上的UTM产品,全功能开启后,防火墙有50%~90%的性能损失,这其实并不令人感到意外。
小企业的UTM产品,防火墙性能为80M,开网关防毒为15M,开IPS也是15M,两个同时开变成12M。这种产品面对的就是100人的小办公环境,这些办公室往往是2M的企业ADSL,或是几条AD线路,最多也就是10M专线,最大投资希望在2万元之内搞定所有安全功能。
目前UTM的市场主要定位还是企业,很少有运营商使用。因此UTM的核心在于能够满足用户的应用环境。
百兆的UTM产品,如果防火墙能够达到200M,开网关防毒后处理能力达到60M,開IPS也能达到60M的话,完全能满足300人以内的企业用户。这种规模的企业即便是申请专线,外加上备份用的AD,总带宽往往也不超过30M。即使开启UTM的所有功能,处理能力也是够用的。但这类规模的企业往往在投资上有严格的控制,一般来说总投资不超过5万元。
此外,我们还要计算3年总拥有成本。首先要了解各个模块的收费情况。目前的许多UTM产品,反病毒模块、反垃圾模块、VPN模块、IPS模块、内容过滤模块是单独收费的,当然也有部分厂商提供许多免费模块。
其次,我们要了解其授权模式。目前业内有两种授权模式,一种是基于每设备收费,不限制用户数;另一种是基于用户数收费,这样企业在发展过程中,可能还需要额外的费用。
最后,用户还应该了解各种服务的收费方式。一般来说UTM的服务更重要,在购买后能提供什么样的升级服务以及产品售后服务。一般来说是按年进行收费,多数情况下一次性购买多年服务会享受一定的折扣。企业级用户应该通过总成本与得到的功能与性能的综合比较,来选择适合自己的产品。
选型总结:拨开迷雾 按需选型
虽然各种UTM设备有不同的优点,但企业对UTM设备的选择应该有一个基本原则:UTM设备的选择应满足企业安全策略所要求的安全目标,还应和企业现有的业务处理环境、管理制度、信息技术环境做到最大程度的兼容。
企业的业务处理需求是指企业对正常业务处理流程中可能存在的安全薄弱环节的加固,或对可能存在的入侵路径进行控制的需求。对一个主要使用电子邮件与外界联络的企业,需要考虑UTM设备的反垃圾邮件功能是否满足日常使用需求;对一个通过NAT发布企业网站的企业来说,防毒与入侵检测功能应该成为选购UTM设备首要考虑的因素;对于有安全远程接入需求的企业,UTM设备的VPN支持也应该进行考虑。总之,企业应该根据自己的业务特点,结合信息的输入输出来确定待采购的UTM设备应该具有的基本功能。
企业的管理要求是指企业需要用安全策略来指导内部用户使用信息系统的行为,同时也需要通过技术手段来限制用户实施某些行为的能力。因此,企业选择UTM设备的时候也应该考虑UTM设备是否满足企业管理要求。比如,企业要禁止用户在工作时间使用某些IM软件,选择的UTM设备就应该包含IM控制功能;企业不禁止用户使用P2P软件,但需要限制用户的使用带宽,那选择的UTM设备就应该有P2P带宽限制功能;企业禁止用户在工作时间浏览某些类型的网站,那选择的UTM设备应该带有Web内容过滤的功能。
企业的信息技术需求是指企业的IT需求包括很多方面,其中最常见的莫过于采购UTM设备对企业之前的设备投资的保护和部署UTM设备之后对网络操作环境的影响。比如,如果企业原来已经部署有网络版的反病毒方案,UTM设备应该能够与网络版进行联动。企业和用户是否能忍受功能全部启用的UTM设备带来的网络带宽的下降?如果企业原来已经部署了防火墙,用户统一安装有反病毒软件,也需要UTM来防范混合性威胁。另外,企业采购UTM设备也要考虑UTM设备的维护成本及日后IT环境扩展的需要。
最后,需要明确一点的是UTM的设计思路应始终是把安全放在第一位,只有在安全之上,才能谈性能。事实上,和其他企业级IT产品一样,UTM的技术寿命一般是三年,因此无论采用何种技术,只要能够达到企业的出口带宽,并能够满足企业3年的发展需求就够了。因此要计算3年总拥有成本,再评估适合自己的产品。